前言
凭着记忆和网上公开的资料写下的分析记录,因为是公司的任务,具体的分析文件(样本、.idb…)不能泄露。其实网上大部分都有记录了的,尤其是一些国外的威胁情报网站。
0354FE2800A994CE774F6BBA385BF9F0
Dll文件,微步查出的恶意评分为60,看到其中一个杀软爆出的为Trojan.Cozer的变种,然后去搜索了一下Cozer是个什么木马,百度太垃圾了,搜不到。谷歌搜索之后,在赛门铁克的网站上找到了对该木马的描述。
Trojan.Cozer is a Trojan horse that opens a back door on the compromised computer.
最后分析出来其存在以下特征:
由于是Dll文件,所以可能需要其他exe程序来调用。
在其DLLMain函数中会解码文件中固定的数据,解码的方式好像都是特定的
用字符串的索引值与该索引处的字符的ASC码异或,再与一个特定的值异或,最后得到的都是固定的值,下方给出的IOC信息对应的样本也是一样,固定的数据不同,导致特定的那个异或值也不同。经过解码得到的字符串如下:
Software\Classes\CLSID\{603D3801-BD81-11D0-A3A5-00C04FD706EC}Parameters
上面的两个字符串指向的是注册表中的CLSID处的值,如果电脑中存在此注册表的值,就会执行Parameters处指向的程序,猜测这里应该就是后门程序安装之后设置的注册表的值吧。
下面则是其他的具有相同特征的样本的HASH值:
D36351AF2453640663BBA20D365E5383 (64bit,Dll)
913967B243FD49FFAD3DE984642E2EBA
3C8469D2C5AF6AB277A6BE483A1775F5(64bit,Dll)
95B3EC0A4E539EFAA1FAA3D4E25D51DE
这是一个具有迷惑性的样本,执行后会在Temp目录下生成两个exe文件,Monkeys.exe和player.exe其中第一个程序是正常无毒的程序,恶意行为都在player.exe中。
player.exe会在Roaming目录下生成另外一组恶意程序(包含Dll),然后删除自身。
Roaming目录下恶意程序都在ATI_Subsystem目录中,包含amdocl_as32.exe和atiumdag.dll,admhcp32.dll,aticaldd.dll,racss.dat。其中跟踪到的执行恶意连接行为的cmdline为:amdocl_as32.exe atiumdag.dll,ADL2_ApplicationProfiles_System_Reload_SEH。
使用SystemTracer监测到有DNS查询记录www.sanjosemaristas[.]com.然后使用PCHunter修改Hosts文件,使得该域名指向另外一台准备好的虚拟机,这样就能进一步跟踪行为,使用HFS在另外一台虚拟机上面搭建简单的HTTP服务器。就可以进一步跟踪使用wireshark抓包,发现样本会请求该域名下的app/index.php文件。
94C9DF2E1357E32D97ADD13FE8A91A89
该样本是一个32bit的Dll文件,使用IDA打开可以查看编译信息,原始的文件名我忘记叫什么去了,不过和上面那个样本释放出来的Dll文件类似。
该样本有一个导出函数也和上面的Dll的导出函数类似,该样本会通过调用LoadLibrary和GetProcAddress这两个函数来获取网络连接的API的函数地址,然后以指针的形式放在全局数组中,需要时就会通过寄存器赋值的方式调用API实现网络通信。其中存在很多敏感的字符串,全部都是编码过后存放在数据段的,解码的方式同上面几个样本中提到的基本类似,只是简单的异或。样本会新建一个大小为0x11B8的堆,然后用来存放获取到的本地主机的信息,包括系统版本信息、电脑名、用户名、网卡信息等等,不过在这个堆的第4-8个字节处存放的是固定的大小0x11C,在内存中以小端的方式存储就是1C 01 00 00,我查过GetVersion这个函数返回的结构体的大小应该为0x114,这里却很奇怪的固定赋值为0x11C。
后续对该样本进行调试,发现其网络连接行为同上面的第二类样本一致。
IOC
TCP connect:http://www.sanjosemaristas[.]com
Http GET: http://www.sanjosemaristas[.]com/app/index.php
其实这个样本还有很多地方值得深思,很多编写的技巧都很巧妙,我也许应该从微步上面把这个样本下载下来好好研究一下。